Verpleeghuizen en zorginstellingen zijn bij uitstek gegevensverwerkers

Verpleeghuizen zijn bij uitstek gegevensverwerkers. Zij verwerken niet alleen persoonsgegevens, maar vooral ook bijzondere persoonsgegevens (AVG, artikel 9). Denk daarbij aan gezondheids-, genetische en biometrische gegevens. AVG artikel 9 lid 1 geeft aan dat het verwerken van bijzondere persoonsgegevens verboden is, tenzij…..

AVG artikel 9 lid 2 tot en met 4 geven aan welke voorwaarden moet worden voldaan om alsnog bijzondere persoonsgegevens te mogen verwerken.

Een ECD-systeem (het elektronisch cliëntendossier) omvat een groot deel van het leven van een cliënt. Voorbeelden hiervan zijn:  levensgeschiedenis, psychologisch dossier,  tand-dossier, het Zorgleefplan[1] en het OMAHA-plan[2]. Iedere cliënt verwacht terecht dat er goed wordt omgegaan met zijn of haar gegevens. Zij verstrekken deze gegevens in vertrouwen aan het verpleeghuis of de zorginstelling en zij hebben op hun beurt de plicht om zorgvuldig en veilig om te gaan met de verwerking van deze gegevens. Doelstelling moet zijn: optimale zorgverlening, zonder het vertrouwen van de cliënt te schaden. Iedere zorgverlener krijgt alleen toegang tot de gegevens die voor zijn of haar taakuitoefening noodzakelijk zijn. Dit kan technisch worden geregeld via authenticatie: je krijgt alleen toegang tot die informatie die voor jouw taakuitoefening noodzakelijk is.

Om dit te realiseren is het in het geval van de zorg van belang een onderscheid te maken: de identificerende gegevens dienen gescheiden te worden opgeslagen van medische- en behandelgegevens. Uiteraard zijn deze gegevens wel onderling aan elkaar gerelateerd. Een voorbeeld: de NAW-gegevens (identificerende gegevens) van de cliënt mogen door iedere zorgprofessional worden gezien. Het tand-dossier (behandelgegevens) en de daarin opgenomen gegevens zijn alleen bestemd voor degene die de gegevens nodig heeft voor de behandeling van de cliënt. In dit geval is dat de tandarts.

Veel bestaande systemen voldoen qua inrichting (nog) niet aan deze aangescherpte eisen en bieden dus geen afdoende dekking om aan de eisen uit de AVG te voldoen. De AVG gaat veel meer dan de Wbp (Wet bescherming persoonsgegevens) uit van de rechten van de betrokkene en stelt hogere eisen aan een veilige verwerking van persoonsgegevens. Als verpleeghuis of zorginstelling heb je de plicht aan deze strengere eisen te voldoen.

U heeft nog tot 25 mei 2018, de datum waarop de AVG van kracht (en gehandhaafd) wordt.

TIP: maak inzichtelijk welke data wordt verwerkt in het ECD-systeem. Leg dit vast in een inrichtingsdocument van jouw ECD-systeem. In het inrichtingsdocument beschrijf je bijvoorbeeld onderwerpen zoals de autorisaties (door in een autorisatiematrix op persoonsniveau aan te geven wie toegang heeft tot welke informatie), met welk doel de betreffende informatie wordt opgeslagen, wat de classificatie (risicocategorie: laag/midden/hoog) van de data is, enz. Op deze wijze geeft het inrichtingsdocument weer hoe het systeem is ingericht en vormt het een prima basis voor het op te zetten verwerkingsregister (AVG artikel 30). Hier komen we in een volgend artikel nader op terug.

Kortom: het is in uw belang én in het belang van de cliënt zorgvuldig om te gaan met de veilige verwerking van persoonsgegevens.

Heeft u hulp nodig bij het opstellen van een inrichtingsdocument voor uw ECD-systeem of breder, het implementeren van de eisen van de AVG binnen uw zorginstelling zodat u AVG compliant bent, neem dan contact met ons op!

[1] Het zorgleefplan (ZLP) is een hulpmiddel om vraaggerichte zorgverlening te kunnen bieden aan je cliënten. De individuele wensen staat centraal in het ZLP

[2] Omaha System is een classificatiesysteem dat zorgverleners helpt op een eenduidige en eenvoudige manier de zorgvraag vast te leggen.